Ha surgido una nueva frontera en el ciberespionaje, donde hackers respaldados por estados explotan sistemáticamente un mecanismo de confianza fundamental de la web moderna—OAuth—para eludir incluso las defensas más robustas. El equipo de Threat Intelligence de Microsoft ha descubierto una campaña sofisticada, atribuida a un grupo de amenaza persistente avanzada (APT) rastreado como SloppyLemming, que está aprovechando concesiones de consentimiento de aplicaciones OAuth maliciosas para infiltrarse en redes gubernamentales del sur de Asia. Esta técnica marca un giro peligroso respecto al phishing de credenciales tradicional, permitiendo a los atacantes operar con tokens de acceso autorizados en lugar de contraseñas robadas, neutralizando efectivamente las protecciones de autenticación multifactor (MFA).
La cadena de ataque comienza con correos electrónicos de phishing altamente dirigidos, elaborados para parecer comunicaciones gubernamentales o internas legítimas, enviados a funcionarios de Pakistán y Bangladesh. En lugar de dirigir a las víctimas a una página de inicio de sesión falsa, los correos contienen enlaces que inician un flujo de autorización OAuth. El usuario es redirigido a una página de inicio de sesión de Microsoft perfectamente falsificada, que luego solicita consentimiento para que una aplicación maliciosa—a menudo disfrazada de herramienta de productividad o seguridad legítima—acceda a los datos del Microsoft 365 del usuario, incluidos correo, calendario y contactos.
Aquí está la elusión crítica. Cuando un usuario hace clic en "Aceptar", no está entregando su contraseña; está concediendo a una aplicación OAuth registrada un conjunto de permisos delegados. Los actores de amenaza detrás de SloppyLemming han preregistrado estas aplicaciones maliciosas en Azure AD (ahora Entra ID). La concesión de consentimiento les proporciona un token de actualización (refresh token) de OAuth, que puede usarse para generar nuevos tokens de acceso para Microsoft Graph API u otros recursos, todo sin que se vuelva a requerir la contraseña o el token MFA del usuario. El ataque explota la confianza inherente que los sistemas depositan en los tokens OAuth, diseñados para representar el consentimiento del usuario.
La investigación de Microsoft indica que una vez que se asegura el acceso inicial mediante este abuso de OAuth, los atacantes despliegan una estrategia de malware dual para afianzarse en el entorno de la víctima. La primera etapa implica un descargador (downloader), una pieza de malware ligera diseñada para obtener y ejecutar cargas útiles adicionales desde servidores de comando y control (C2) controlados por el atacante. La segunda carga útil, más persistente, es una puerta trasera (backdoor) con múltiples funciones, capaz de exfiltrar archivos, ejecutar comandos remotos y proporcionar acceso a largo plazo al sistema comprometido. Este enfoque por capas permite al grupo mantener la persistencia incluso si la aplicación OAuth inicial es descubierta y revocada.
Las implicaciones para la seguridad empresarial y gubernamental son profundas. Durante años, los equipos de seguridad han promovido la MFA como una barrera casi impenetrable contra la toma de control de cuentas. Esta campaña demuestra que cuando los atacantes desplazan su enfoque desde robar credenciales a manipular flujos de autorización, la MFA por sí sola es insuficiente. El ataque también evade los gateways de seguridad de correo electrónico tradicionales que escanean en busca de archivos adjuntos maliciosos o enlaces a sitios de phishing conocidos, ya que el enlace inicial a menudo apunta a un dominio de apariencia legítima utilizado para la redirección OAuth.
Defenderse de esta nueva amenaza requiere un cambio de estrategia. Microsoft y los expertos en seguridad recomiendan varias acciones clave:
- Auditar aplicaciones OAuth: Los administradores deben revisar regularmente las aplicaciones con consentimiento en su inquilino de Entra ID (Azure AD), prestando especial atención a aquellas con niveles de permisos elevados y editores desconocidos. Las aplicaciones sospechosas deben revocarse inmediatamente.
- Implementar políticas de acceso condicional: Se deben configurar políticas para restringir la emisión de tokens en función del cumplimiento del dispositivo, ubicaciones de red confiables y niveles de riesgo del usuario. Esto puede impedir que un atacante use un token desde un dispositivo o ubicación no familiar.
- Aplicar flujos de consentimiento de administrador: Deshabilitar el consentimiento del usuario para permisos de alto privilegio o para aplicaciones de editores no confiables. Requerir que todos estos consentimientos pasen por un proceso de revisión administrativa.
- Capacitación en concienciación del usuario: Educar a los empleados, especialmente aquellos en roles de alto riesgo, sobre esta nueva variante de phishing. El mensaje clave es escrutar las solicitudes de permisos para aplicaciones, no solo las páginas de inicio de sesión. Deben aprender a reportar cualquier pantalla de consentimiento inesperada.
- Monitorizar el uso anómalo de tokens: Las operaciones de seguridad deben incorporar análisis para detectar patrones inusuales en el uso de tokens OAuth, como tokens utilizados desde nuevas geografías o para acceder a grandes volúmenes de datos en poco tiempo.
La campaña SloppyLemming es un recordatorio contundente de que a medida que evolucionan las defensas, también lo hacen los adversarios. El abuso de los sistemas OAuth y de identidad en la nube representa una escalada significativa en el manual de ciberespionaje, trasladando el campo de batalla desde el perímetro de la red hasta la capa central de identidad. Para las agencias gubernamentales y empresas de todo el mundo, proteger la identidad ya no se trata solo de contraseñas fuertes y MFA—se trata de gobernar los mismos permisos que los usuarios conceden a las aplicaciones que utilizan.
Comentarios 0
Comentando como:
¡Únete a la conversación!
Sé el primero en compartir tu opinión sobre este artículo.
¡Inicia la conversación!
Sé el primero en comentar este artículo.